Tags:
USA

ตั้งแต่เดือนกรกฎาคมของปีหน้าเป็นต้นไป สมาร์ทโฟนแทบทุกเครื่องของสหรัฐอเมริกาจะมีระบบล็อคเครื่องจากระยะไกลเมื่อเจ้าของทำเครื่องหาย

แผนการณ์นี้กำลังจะเป็นจริงได้หลังจากการบรรลุข้อตกลงร่วมกันของผู้ผลิตสมาร์ทโฟนหลายรายอันได้แก่ Apple, Google, HTC, Huawei, Motorola, Microsoft, Nokia และ Samsung ร่วมด้วยผู้ให้บริการเครือข่ายโทรศัพท์มือถือทั้ง AT&T, Sprint, T-Mobile USA, US Cellular และ Verizon ตลอดจนผู้ให้บริการรับประกันโทรศัพท์อย่าง Asurion โดยข้อตกลงนี้ใช้ชื่อว่า "Smartphone Anti-Theft Voluntary Commitment" ซึ่งก็คือข้อตกลงร่วมมือสร้างสมาร์ทโฟนต่อต้านการขโมย ซึ่งที่มาที่ไปของเรื่องนี้มาจากเป้าหมายที่ต้องการกำจัดธุรกิจตลาดมืดที่รับซื้อ-ขายเครื่องสมาร์ทโฟนที่ถูกขโมยมานั่นเอง

ใจความสำคัญของข้อตกลงข้างต้น คือการสร้างระบบที่จะช่วยให้ผู้ใช้สามารถสั่งล็อคเครื่อง หรือลบข้อมูลส่วนตัว หรือปิดระบบใดๆ บนเครื่องสมาร์ทโฟนได้ ภายหลังจากที่ผู้ใช้ทำสมาร์ทโฟนเครื่องดังกล่าวหายไป โดยระบบดังกล่าวอาจถูกติดตั้งมาในเครื่องสมาร์ทโฟนตั้งแต่ผลิตออกจากโรงงาน หรือเสนอเป็นแอพให้ผู้ใช้ดาวน์โหลดไปใช้งานได้โดยไม่มีค่าใช้จ่าย

นอกเหนือจากนี้ในสหรัฐอเมริกายังมีโครงการสร้างบัญชีดำเครื่องสมาร์ทโฟนที่โดนขโมยด้วยอีกโครงการหนึ่ง นับเป็นแนวทางที่น่าสนใจจากผู้ผลิตและผู้ให้บริการเครือข่ายในการช่วยป้องกันเหตุโจรกรรมที่อาจเกิดขึ้นกับสมาร์ทโฟนของผู้ใช้อีกทางหนึ่ง

ที่มา - SlashGear

Tags:
Heartbleed

ท่ามกลางกระแสการตื่นตัวของช่องโหว่ความปลอดภัย Heartbleed ที่เพิ่งเปิดตัวมาได้ไม่นาน และได้มีบทความอธิบายการทำงานของ Heartbleed มากมาย (ชื่อจำเพาะของช่องโหว่ Heartbleed คือ CVE2014_0160) ก็ได้มีวัยรุ่นชาวแคนาดาที่เพิ่งอายุได้ 19 ปี ได้ศึกษาช่องโหว่ Heartbleed อย่างทะลุปรุโปร่งแล้วนำไปเจาะระบบภาษีของกรมสรรพสามิตแคนาดาซึ่งยังไม่ได้อัพเดตความปลอดภัยของการเข้ารหัส

Tags:
Heartbleed

ปัญหา Heartbleed ใน OpenSSL นอกจากเว็บเข้ารหัสต่างๆ แล้ว บริการทั้งหมดที่ใช้งาน OpenSSL รุ่นที่ได้รับผลกระทบก็ล้วนถูกกระทบตามไปจำนวนมาก ตอนนี้บริการสำคัญคือ Tor ก็เริ่มมีรายงานผลกระทบออกมาแล้ว ทางผู้ดูแลเซิร์ฟเวอร์รายชื่อโหนด Tor ที่ชื่อว่า moria1 ออกมาประกาศว่ากำลังแบนโหนดจำนวน 380 โหนดออกจากรายการเพราะพบปัญหา Heartbleed โดยชุดแรกเป็นโหนดที่ประกาศตัวเองว่าเป็น Guard หรือ Exit เท่านั้น คาดว่าจะมีโหนดอื่นๆ ที่ทำงานในระบบต้องถูกแบนอีกกว่าพันโหนด

ยังไม่มีรายงานยืนยันว่าเซิร์ฟเวอร์รวมรายขื่อโหนดอื่นๆ จะทำตาม moria1 หรือไม่ แต่หากทำตาม เฉพาะชุดแรกนี้จะทำให้แบนด์วิดท์ในการส่งต่อข้อมูลและการออกอินเทอร์เน็ตของเครือข่าย Tor ทั้งระบบลดลง 12%

รายงานล่าสุดตอนนี้มีโหนดที่ได้รับผลกระทบและน่าจะต้องแบนออกจากการประกาศเป็นจำนวนรวม 1777 โหนด โดยรวมถึงเซิร์ฟเวอร์ที่อัพเดตแล้วแต่ไม่ได้สร้างกุญแจใหม่ เพราะเครื่องใดๆ ที่ได้รับผลกระทบจาก Heartbleed ควรถือว่ากุญแจลับได้หลุดออกไปยังแฮกเกอร์แล้ว

ที่มา - The Register

Tags:
USA

โอเปอเรเตอร์ 5 รายใหญ่ของสหรัฐอเมริกา และบริษัทมือถือชื่อดังหลายรายไม่ว่าจะเป็นแอปเปิล กูเกิล ไมโครซอฟท์ โนเกีย ซัมซุง เอชทีซี โมโตโรลา ฯลฯ ประกาศความร่วมมือว่าอุปกรณ์ที่วางขายหลังเดือนกรกฎาคม 2015 เป็นต้นไป จะสามารถสั่ง remote wipe จากระยะไกลเพื่อป้องกันข้อมูลส่วนตัวของผู้ใช้ในกรณีมือถือหายหรือถูกขโมย

ฟีเจอร์ remote wipe หรือบางครั้งเรียกว่า kill switch เป็นที่ถกเถียงกันอย่างมากว่าควรมีหรือไม่ (ฝ่ายที่คัดค้านมองว่าโอเปอเรเตอร์จะสั่ง wipe ได้แม้ผู้ใช้ไม่อนุญาต) อย่างไรก็ตาม ฟีเจอร์นี้ได้รับการสนับสนุนจากนักการเมืองในสหรัฐที่มองว่าปัญหามือถือหายเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ และสมาคมโอเปอเรเตอร์สหรัฐหรือ CTIA

ตอนนี้ยังไม่มีข้อมูลชัดเจนว่าในทางเทคนิคจะทำอย่างไร และจะมีมาตรฐานกลางเรื่อง remote wipe หรือไม่

ที่มา - Re/code

Tags:
NSA

เจ้าหน้าที่รัฐระดับสูงรายหนึ่งเปิดเผยกับหนังสือพิมพ์นิวยอร์กไทม์ว่า ในการรีวิวคำแนะนำตามแผนปฏิรูป NSA และงานด้านข่าวกรองของสหรัฐเมื่อเดือนมกราคมที่ผ่านมา ประธานาธิบดี บารัค โอบามา ตัดสินใจว่า NSA ควรเปิดเผยช่องโหว่ด้านความปลอดภัยบนอินเทอร์เน็ตให้สาธารณชนรับทราบเมื่อหน่วยงานค้นพบ เว้นเสียแต่ว่าช่องโหว่เหล่านั้นเกี่ยวเนื่องกับความปลอดภัยระดับชาติหรือความจำเป็นในการบังคับใช้กฎหมาย

เนื่องจากข้อยกเว้นนี้ไม่มีขอบเขตที่ชัดเจน นิวยอร์กไทม์กล่าวว่าจึงมีความเป็นไปได้ที่ข้อยกเว้นนี้จะทำให้ NSA สามารถใช้ประโยชน์จากช่องโหว่เหล่านั้นในการเจาะการเข้ารหัสบนอินเทอร์เน็ตและสร้างอาวุธไซเบอร์ (cyberweapon)

ทำเนียบขาวไม่เคยเปิดเผยรายละเอียดของแผนปฏิรูปฯ ให้สาธารณชนรับทราบเลย นับตั้งแต่ที่โอบามาประกาศเมื่อเดือนมกราคมที่ผ่านมา

ไม่รู้ว่าหนึ่งในช่องโหว่ที่ NSA ไม่เปิดเผยต่อสาธารณะนั้นรวมถึง Heartbleed หรือเปล่า

ที่มา: หนังสือพิมพ์นิวยอร์กไทม์ ผ่าน The Verge

Tags:
CloudFlare

CloudFlare ผู้ให้บริการ CDN (Content Delivery Network) รายใหญ่ ก่อนหน้านี้ได้ประเมินว่าบั๊ก Heartbleed มีโอกาสให้แฮกเกอร์จะสามารถขโมย private key ซึ่งจะทำให้แฮกเกอร์สามารถแกะข้อมูลที่วิ่งผ่าน SSL ได้ทั้งหมด ซึ่งรวมถึงข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต ฯลฯ

ทาง CloudFlare ได้ตั้งเซิร์ฟเวอร์ nginx-1.5.13 ที่ใช้ OpenSSL 1.0.1.f เพื่อให้คนลองมาล้วง private key ออกไป แต่ไม่เกินสิบชั่วโมง ก็มีคนแกะ private key ออกไปได้ถึง 2 คน และ CloudFlare ก็ออกมารับรองผลแล้วว่าสามารถเจาะเอา private key ไปได้จริง

Tags:
Heartbleed

บั๊ก Heartbleed ที่ถูกค้นพบเมื่อไม่กี่วันก่อน ส่งผลสะเทือนไปทั่วโลกไอที เหตุเพราะตัวซอฟต์แวร์ OpenSSL นั้นถูกใช้อย่างกว้างขวางในฐานะซอฟต์แวร์พื้นฐานสำหรับการเข้ารหัส SSL/TLS เพื่อส่งข้อมูลแบบ HTTPS, VPN และทราฟฟิกเข้ารหัสแบบอื่นๆ

การค้นพบช่องโหว่ Heartbleed ถือเป็นการ "เจาะที่หัวใจ" ทำลายความน่าเชื่อถือของการส่งข้อมูลผ่าน SSL/TLS ลงอย่างมาก (ตามสัดส่วนการใช้ OpenSSL) เพราะการเข้ารหัสที่เรา "เชื่อว่าปลอดภัย" นั้นกลับไม่ปลอดภัยอย่างที่เคยคิดกันไว้

บทความนี้จะอธิบายลักษณะของ Heartbleed โดยพื้นฐาน เพื่อให้ผู้อ่าน Blognone เข้าใจมากขึ้นว่ามันเกิดอะไรขึ้นกันแน่นะครับ

Tags:
Android

กูเกิลมีมาตรการด้านความปลอดภัยหลายอย่างให้กับแพลตฟอร์ม Android (ข่าวเก่า: กูเกิลบอกมีมัลแวร์ Android เพียง 0.001% เท่านั้นที่หลุดระบบป้องกันและอาจเกิดอันตราย, รายละเอียดสถาปัตยกรรมความปลอดภัยของแพลตฟอร์ม Android)

ฟีเจอร์ที่น่าสนใจอันหนึ่งคือ Verify Apps ที่ถูกเพิ่มเข้ามาตั้งแต่เวอร์ชัน 4.2 โดยเมื่อเปิดใช้แล้วกูเกิลจะสแกนแอพที่ติดตั้งเข้ามาในเครื่อง (ไม่ว่าจะลงผ่าน Play Store หรือไม่) ว่ามีมัลแวร์หรือไม่ ปัจจุบันฟีเจอร์นี้ถูกใช้ตรวจสอบแอพไปแล้วกว่า 4 พันล้านครั้ง

ล่าสุดกูเกิลออกมาประกาศเพิ่มเติมว่าจะขยาย Verify Apps จากเดิมที่ตรวจแอพเพียงครั้งเดียว จะเปลี่ยนเป็นการตรวจสอบแอพเป็นระยะๆ เพื่อให้ผู้ใช้ปลอดภัยมากกว่าเดิม (constant on-device monitoring) โดยผู้ใช้งานต้องใช้ Android 2.3 ขึ้นไป (ส่วนตัวฟีเจอร์จะอัพเดตตาม Google Play Services ที่ไม่ขึ้นกับเวอร์ชันของ Android)

ที่มา - Android Blog

Tags:
Heartbleed

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน และ ผลกระทบจากบั๊ก Heartbleed: ควรเปลี่ยนรหัสผ่าน Google, Facebook, Tumblr, Yahoo!, Dropbox

ผมจึงได้รวบรวมข้อมูลเลขเวอร์ชันของ OpenSSL ที่มีปัญหา Heartbleed นี้ และเวอร์ชันที่ได้รับการ Bug Fix บนระบบปฏิบัติการ Linux Distribution ต่างๆ มาให้ เพื่อที่คนที่ทำหน้าที่ดูแลระบบเซิร์ฟเวอร์หรือระบบรักษาความปลอดภัยจะได้ตรวจสอบได้ว่าเครื่องเซิร์ฟเวอร์ที่ใช้อยู่มีความเสี่ยงหรือไม่

Tags:
Android

ไม่แปลกสำหรับระบบปฏิบัติการที่มีผู้ใช้มากที่สุดในโลก ย่อมเป็นเป้าหมายหลักของผู้ไม่หวังดี โดยปีที่แล้ว ระบบปฏิบัติการแอนดรอยด์มีสัดส่วนของมัลแวร์มากที่สุดถึง 97% ในขณะที่อีก 3% ไม่ได้มาจาก iOS, Blackberry OS หรือ Window Phone แต่กลับเป็น Symbian OS

อย่างไรก็ดี ตัวเลขดังกล่าวเป็นเพียงจำนวนของมัลแวร์ที่รันบนระบบปฏิบัติการแอนดรอยด์ ไม่ได้หมายความว่า มัลแวร์เหล่านั้นมีที่มาจาก Play Store เพราะ Play Store มีสัดส่วนของมัลแวร์บนแอนดรอยด์เพียง 0.1% เท่านั้น อีก 99.9% ที่เหลือมาจาก store เถื่อนต่างๆ

Tags:
Heartbleed

บั๊ก Heartbleed ส่งผลกระทบเป็นวงกว้าง โดยฝั่งของผู้จำหน่ายอุปกรณ์เครือข่ายรายใหญ่ทั้ง Cisco และ Juniper ออกมาประกาศข้อมูลอย่างเป็นทางการแล้ว

ฝั่ง Cisco มีผลิตภัณฑ์ที่ยืนยันว่าได้รับผลกระทบจำนวนหนึ่ง ทั้ง IP Phone, เซิร์ฟเวอร์, ซอฟต์แวร์ตระกูล Small Cell, WebEx, AnyConnect, TelePresence และยังมีผลิตภัณฑ์อีกมากที่กำลังสอบสวนว่าได้รับผลกระทบด้วยหรือไม่ - Cisco

ส่วน Juniper ก็เผยข้อมูลว่าผลิตภัณฑ์หลายตัวได้รับผลจาก Hearbleed เช่นกัน ได้แก่ Junos OS, SSL VPN, Odyssey, Junos Pulse รายละเอียดของเวอร์ชันซอฟต์แวร์ที่ได้รับผลกระทบอ่านได้ตามลิงก์ - Juniper

ที่มา - Network World

Tags:

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน และ ผลกระทบจากบั๊ก Heartbleed: ควรเปลี่ยนรหัสผ่าน Google, Facebook, Tumblr, Yahoo!, Dropbox

ทาง LastPass ซึ่งเป็นผู้ให้บริการเก็บรักษารหัสผ่านชั้นนำได้ประกาศข่าวเพื่อสร้างความมั่นใจต่อระบบของตนที่ใช้ OpenSSL โดยระบุว่าระบบของตนนั้นยังปลอดภัย เนื่องจากทาง LastPass ได้มีระบบที่เข้ารหัสหลายชั้น (multiple layers of encryption to protect our users) ซึ่งช่วยป้องกันกุญแจเข้ารหัสของสมาชิกของทุกคนให้ยังคงปลอดภัยอยู่ แต่ก็ได้สร้างและติดตั้ง SSL certificate ตัวใหม่ลงไปแล้ว สมาชิกไม่จำเป็นต้องเปลี่ยนแปลงรหัสผ่านหลัก (master password) แต่อย่างใด แต่ถ้าสมาชิก LastPass ต้องการมั่นใจให้มากขึ้นก็สามารถเปลี่ยนได้ตามปรกติ

Tags:
RSA

สรุปเนื้อหาสาระจากงาน Blognone Quest for Modern Security ในช่วงแรกเป็นการบรรยายโดยคุณอภิเชษฐ์ ชัยเพ็ชร ที่ปรึกษาเทคโนโลยีอาวุโสจาก RSA

Tags:
Heartbleed

จากข่าว พบบั๊กร้ายแรงใน OpenSSL รุ่นตั้งแต่ปี 2012 ทุกคนควรอัพเกรดเร่งด่วน หรือที่เรียกชื่อกันว่าบั๊ก "Heartbleed" สร้างผลกระทบในวงกว้างเพราะซอฟต์แวร์ที่ใช้ OpenSSL ถูกใช้กับเว็บไซต์ดังๆ มากมาย

เว็บไซต์ Mashable ได้รวบรวมข้อมูลของบริการออนไลน์ยอดฮิตต่างๆ ว่าได้รับผลกระทบจาก Heartbleed หรือไม่ และผู้ใช้จำเป็นต้องเปลี่ยนหรัสผ่านหรือเปล่า

Tags:
Chrome

Chrome 34 เริ่มอัพเดตให้ผู้ใช้แล้ววันนี้ โดยเพิ่มความสามารถหลายอย่าง เช่น รองรับ Web Audio เต็มรูปแบบ (ไม่มี prefix ใน API), เพิ่ม API สำหรับ extension, รองรับรูปภาพแบบ responsive

แต่ฟีเจอร์ที่มีผลต่อผู้ใช้ทั่วไปที่สุดคงเป็นการจำรหัสผ่าน โดย Chrome 34 จะเริ่มถามผู้ใช้ว่าต้องการให้เบราว์เซอร์จำรหัสผ่านให้หรือไม่ โดยไม่สนใจว่าเว็บจะระบุ autocomplete=off ก็ตาม ทำให้เว็บที่ผู้พัฒนาไม่ชอบให้ผู้ใช้จำรหัสผ่านด้วยซอฟต์แวร์จัดการรหัสผ่านไม่สามารถควบคุมการใช้งานของผู้ใช้ได้อีกต่อไป

Adam Barth นักพัฒนา Chrome ที่ดูแลเรื่องความปลอดภัยของผู้ใช้ ระบุว่าเขาเองอยู่ฝ่ายที่เชื่อว่าซอฟต์แวร์จัดการรหัสผ่านช่วยเพิ่มความปลอดภัยให้ผู้ใช้เพราะผู้ใช้สามารถตั้งรหัสผ่านที่ซับซ้อนได้ง่ายขึ้น ขณะที่ธนาคารหลายแห่งกลัวว่าการใช้ซอฟต์แวร์เช่นนี้อาจจะทำให้ผู้ใช้ถูกขโมยรหัสผ่านได้โดยง่าย

นอกจากความเปลี่ยนแปลงข้างต้นแล้วยังมีรายการบั๊กความปลอดภัยที่แก้ไขไปแล้วถึง 31 รายการ กูเกิลจ่ายเงินรางวัลบั๊กไปจำนวน 12 บั๊ก มูลค่าตั้งแต่ 1000 ถึง 5000 ดอลลาร์

ที่มา - Google Chrome Release, Scheme/Host/Port

Tags:
Google Drive

Ibrahim Raafat นักวิจัยความปลอดภัยจากอียิปต์รายงานปัญหาความปลอดภัย Cross Site Scripting (XSS) บนเว็บ Google Drive ด้วยการตั้งชื่อโฟลเดอร์ว่า ‘”><svg/onload=prompt(1337)> จากนั้นจึงย้ายเอกสารเข้าไปในโฟลเดอร์นี้ แล้วย้ายเอกสารออกไปยังโฟลเดอร์อื่น จะทำให้โค้ดจาวาสคริปต์ถูกรัน

กูเกิลยอมรับปัญหานี้และแก้ปัญหาในเวลาต่อมา พร้อมกับจ่ายเงินรางวัลให้กับทีมงานเป็นเงิน 1337 ดอลลาร์

Raafat อธิบายว่าปัญหานี้เกิดจากโค้ดส่วนแจ้งเตือนผู้ใช้ที่แจ้งเตือนการย้ายเอกสารออกจากโฟลเดอร์ว่าผู้ใช้อื่นที่แชร์โฟลเดอร์อยู่จะมองไม่เห็นเอกสารอีกต่อไป โค้ดส่วนนี้ไม่ได้เช็คชื่อโฟลเดอร์ให้ดีทำให้แฮกเกอร์สามารถรันโค้ดได้เอง

แฮกเกอร์สามารถรันโค้ดใดๆ บนบัญชีผู้ใช้ของเหยื่อได้ด้วยการแชร์โฟลเดอร์ไปยังเหยื่อแล้วพยายามล่อให้เหยื่อย้ายไฟล์ในโฟลเดอร์นั้นไปเก็บไว้ที่อื่น

ที่มา - PWNRules

Tags:
Heartbleed

พบบั๊กร้ายแรงในไลบรารี OpenSSL ตระกูล 1.0.1 ที่ออกมาตั้งแต่ปี 2012 จากบั๊กในส่วนของ heartbeat ทำให้แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำใดๆ ออกมาได้ ตอนนี้แพตซ์ของบั๊กนี้เริ่มปล่อยให้ดาวน์โหลดแล้ว และผู้ดูแลระบบทุกคนควรอัพเกรดทันที

OpenSSL 1.0.1 ติดตั้งไปกับ Ubuntu ตั้งแต่รุ่น 12.04.4, Debian Wheezy, CentOS 6.5, Fedora 18, OpenBSD 5.3, FreeBSD 8.4, NetBSD 5.0.2, และ OpenSUSE 12.2 โดยมีผลตั้งแต่ OpenSSL 1.0.1 มาถึง 1.0.1f และเพิ่งได้รับการแก้ไขในรุ่น 1.0.1g เมื่อวานนี้

การที่แฮกเกอร์สามารถอ่านข้อมูลในหน่วยความจำได้ทำให้แฮกเกอร์อาจจะอ่าน private key ของการเข้ารหัส รายชื่อผู้ใช้ในระบบสำหรับข้อมูลอื่นๆ และข้อมูลสำคัญอื่นๆ เดเบียนจัดให้บั๊กนี้มีความร้ายแรงระดับ grave ซึ่งเป็นขั้นรองสุดท้ายถัดจาก critical

บั๊กนี้พบโดยทีมวิศวกรความปลอดภัยของ Codenomicon และฝ่ายความปลอดภัยของกูเกิล หมายเลข CVE-2014-0160 คงต้องรออีกพักใหญ่ๆ กว่าจะมีรายละเอียดฉบับเต็มให้อ่านกัน

ที่มา - Heartbleed, Debian Bug Dist, OpenSSL

Tags:
Xbox One

Kristoffer Von Hassel วัย 5 ขวบชาวอเมริกันได้ค้นพบช่องโหว่ในการล็อกอินเข้า Xbox LIVE บนเครื่อง Xbox One โดยสามารถล็อกอินเข้าแอคเคาท์ของพ่อเขาได้โดยไม่ต้องรู้รหัสผ่าน เริ่มจากใส่พาสเวิร์ดผิดในครั้งแรก และใส่เพียง space ในครั้งสอง ก็สามารถล็อกอินเข้าแอคเคาท์ของพ่อเขาโดยง่าย

เมื่อทางไมโครซอฟท์ทราบเรื่อง ก็ตบรางวัล Kristoffer ด้วยเงินจำนวน 50 เหรียญ (ประมาณ 1,500 บาท), เกมฟรี 4 เกมและแอคเคาท์ Xbox LIVE Gold เป็นเวลา 1 ปีฟรีๆ

ที่มา - The Verge

Tags:

กระบวนการยืนยันว่าซอฟต์แวร์ตัวหนึ่งมีความปลอดภัยไม่ใช่แค่การเข้ารหัสที่ซับซ้อน (ความซับซ้อนอาจจะสร้างช่องโหว่เสียเองด้วย) หรือการโอเพนซอร์สแล้วอ้างว่ามีการตรวจสอบจากภายนอกแต่โครงการที่มีคนใช้งานน้อยเกินไปก็มักไม่ได้รับการตรวจสอบเพียงพออยู่ดี รอบนี้ทาง Open Technology Fund จึงจัดเงินทุนมาจ้างที่ปรึกษาให้ตรวจสอบความปลอดภัยของโปรแกรมแชตเข้ารหัสอย่าง Cryptocat

รายงานแสดงให้เห็นช่องโหว่และอันตรายหลายอย่าง เช่นกระบวนการยืนยันว่าฝ่ายตรงข้ามที่กำลังแชตอยู่เป็นคนที่เราตั้งใจจะคุยด้วยจริง เมื่อมีกุญแจสาธารณะใหม่แสดงตัวว่าเป็นผู้ใช้เดิมก็ไม่มีการเตือนที่ชัดเจน โดยกระบวนการแจ้งเตือนผู้ใช้ทั้งหมดจะถูกแก้ไขในรุ่นต่อไป

Tags:

อย่างที่ทราบกันว่าสำนักงานความมั่นคงแห่งชาติของสหรัฐ (NSA) มีพฤติกรรมสอดแนมและดักฟังข้อมูลส่วนตัวต่างๆ โดยเฉพาะข้อมูลจากอีเมลและแมสเซนเจอร์ต่างๆ ของ Yahoo! และ Google ซึ่งทั้งสองบริษัทเป็นเป้าหมายหลักในโครงการ Muscular ของ NSA

เพื่อเพิ่มความมั่นใจในข้อมูลส่วนตัวของลูกค้า ก่อนหน้านี้ทาง Google ได้ประกาศว่าได้เข้ารหัสทราฟฟิกระหว่างเซิร์ฟเวอร์เรียบร้อยแล้ว ขณะที่ Yahoo! ก็เคยประกาศว่าจะเข้ารหัสข้อมูลทั้งหมดภายในไตรมาสแรกของปีนี้

มาคราวนี้ทาง Yahoo! มีอัพเดตเพิ่มเติมว่านอกจากเว็บหลักที่ได้ถูกเข้ารหัสไปแล้วนั้น ทาง Yahoo! ได้ทำการเข้ารหัสทั้งหมดของศูนย์ข้อมูลเรียบร้อยแล้วตั้งแต่วันที่ 31 มีนาคมที่ผ่านมา และจะปล่อยเวอร์ชันใหม่ของ Yahoo! messenger และ ICQ ที่ถูกเข้ารหัสทั้งแมสเซจและวีดีโอคอลภายในเดือนหน้า

ที่มา - Techcrunch, CNET